大部分應(yīng)用系統(tǒng)都采用WebServer模式，也就是本質(zhì)上是一個(gè)網(wǎng)站。采用WebServer模式的好處有很多，比如開(kāi)發(fā)和維護(hù)都更方便、用戶使用也更簡(jiǎn)單；因此越來(lái)越的應(yīng)用軟件加入到這一模式。因?yàn)闃I(yè)務(wù)特性的原因，訪問(wèn)應(yīng)用系統(tǒng)的客戶端基本都在固定的地區(qū)（國(guó)內(nèi)或某些省市），例如公司、分公司所在城市。

據(jù)護(hù)衛(wèi)神統(tǒng)計(jì)，黑客一般使用國(guó)外IP發(fā)動(dòng)入侵，以防止被溯源。如果我們限制應(yīng)用系統(tǒng)只允許國(guó)內(nèi)IP訪問(wèn)（或者進(jìn)一步精確到省市），那系統(tǒng)的安全性不言而喻，將提升許多許多。

那么，如何讓應(yīng)用系統(tǒng)限制訪問(wèn)區(qū)域呢？

要限制訪問(wèn)區(qū)域，一共有四種辦法實(shí)現(xiàn)：

1、 在應(yīng)用系統(tǒng)限制

2、 在WebServer限制

3、 在防火墻或第三方軟件限制

在應(yīng)用系統(tǒng)限制，需要開(kāi)發(fā)商內(nèi)嵌IP區(qū)域限制功能到軟件，很遺憾大部分軟件都沒(méi)有此功能。而且此模式無(wú)法對(duì)靜態(tài)文件進(jìn)行限制（例如：HTML、圖片、文檔、視頻、壓縮包等）。也就是即使軟件內(nèi)置IP區(qū)域限制功能，限制范圍也不夠全面，存在遺漏。護(hù)衛(wèi)神不推薦這種模式。

在WebServer限制，這個(gè)限制比較全面，所有的文件都會(huì)限制，但缺點(diǎn)也有。第一個(gè)缺點(diǎn)是需要有非常詳細(xì)的IP庫(kù)，為了系統(tǒng)性能，還得盡可能優(yōu)化為IP段。第二個(gè)缺點(diǎn)是需要到WebServer配置，運(yùn)維人員不一定會(huì)。如果你有一定技術(shù)能力，也能搜集到詳細(xì)的IP庫(kù)，并懂得優(yōu)化方法，那這個(gè)方法非常適合你。

如果上述方法都不適合你，那就推薦使用《護(hù)衛(wèi)神.防入侵系統(tǒng)》。其“防火墻”模塊支持IP區(qū)域限制（如下圖一）。

（圖一：限制8088端口授權(quán)訪問(wèn)區(qū)域）

如上圖所示，限制8088端口，只允許“四川、上海、廣州”三個(gè)地區(qū)訪問(wèn)，不在這三個(gè)地區(qū)的用戶將無(wú)法連接到8088端口，讓黑客探測(cè)不到端口是否開(kāi)放，也就無(wú)從發(fā)動(dòng)入侵了。

溫馨提示：護(hù)衛(wèi)神的IP庫(kù)國(guó)外精確到洲和國(guó)家、國(guó)內(nèi)精確到省市，以及提供中國(guó)大陸、港澳臺(tái)、國(guó)外、局域網(wǎng)等快捷選擇。

可以只對(duì)某些路徑限制區(qū)域嗎？

答案是可以的。

有的用戶希望網(wǎng)站對(duì)全球開(kāi)放，后臺(tái)只對(duì)所在城市開(kāi)放。這種情況也是可以實(shí)現(xiàn)的。

在《護(hù)衛(wèi)神.防入侵系統(tǒng)》的“網(wǎng)站防護(hù)-訪問(wèn)保護(hù)-網(wǎng)站后臺(tái)保護(hù)”模塊就可以實(shí)現(xiàn)（如下圖二）。

（圖二：限制網(wǎng)站路徑授權(quán)訪問(wèn)區(qū)域）

如上圖所示，設(shè)置 /admin/ 路徑只允許上海和四川地區(qū)訪問(wèn)。非上海和四川地區(qū)的用戶，可以訪問(wèn)網(wǎng)站除后臺(tái)外的所有內(nèi)容，這樣既提升了安全，又不影響網(wǎng)站使用。

另外這些區(qū)域IP還會(huì)隨著系統(tǒng)升級(jí)而自動(dòng)更新優(yōu)化，完全省去了自己收集整理IP庫(kù)的繁瑣，設(shè)置防護(hù)規(guī)則也非常簡(jiǎn)單，是不是很值得推薦呢！